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Банковский SDL своими руками 


Шабалин Юрий 
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\ SDLC в классическом понимании 


Жизненный цикл ПО — период времени, который начинается с момента принятия 
решения о необходимости создания программного продукта и заканчивается в 
момент его полного изъятия из эксплуатации. Этот цикл — процесс построения и 


развития ПО. 
Wikipedia 
OH, YOU READ IT ON 
WIKIPEDIA? 5. 


+": 


YOU MUST ВЕАМЕКРЕВТАМТИЕ 
SUBJECT THEN: <. 


BETA | УЛ 
PANA МАТА 
| XX 


Этапы: 

Формирование требований 
Проектирование 

Реализация 

Тестирование 

Внедрение 

Эксплуатация и сопровождение 


ЦБ РФ: ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ НА СТАДИЯХ ЖИЗНЕННОГО 
ЦИКЛА АВТОМАТИЗИРОВАННЫХ БАНКОВСКИХ 
СИСТЕМ 
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ХЕКОК ОДЕ: 


\ Ожиданиа руководства NB 


Закрытие существующих уязвимостей 
Обнаружение новых уязвимостей 
Повышение грамотности и осведомленности разработчиков 
РЕГЛАМЕНТ безопасной разработки 6 

Объяснение уязвимостей языком, понятным разработчикам 


< 
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Что мы имеем 


Изобилие систем 
собственной 
разработки (50+) 
Различные команды 
разработки 
Внешние 
(неподконтрольные) 
подрядчики для 
разработки 
Отсуствие Code Style, 
Code Review B 
командах 
Неграмотность 
разработчиков в 


области безопасности Нет смысла описывать происходящее 
поэтому напишу: “У нас все хорошо,.." 


Krnova D. 
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~ |I AM THE SDLC 


Со стороны ИБ есть один человек, который занимается software security и 
попытками построения SDLC ... 
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| Основные проблемы 
\ 


Непонимание необходимости устранения 
уязвимостей 

Зачем устранять, 100 лет так жили? А 
сколько денег мы сэкономим? 

Непонимание сути уязвимостей вообще 

Да у нас всё зашифровано, всё под SSL, какая 
ещё 501-ињекциа 2 

Нежелание отдавать исходный код 
безопасникам, традиционное отношение к 
нам, как к карательно-запретительному органу 
Ожидания разработчиков: обезьяна на 
инструменте с кнопкой FWD MAIL. 


Y 
| (00 YoU HAVE А MINUTE, 
ТОТАШ ABOUT VULNERS | 
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\ Чем убеждать 


/Х99...Адаіп?!/ 


e Эксплуатация уязвимостей 
(скриншоты, описание 
реализации) 

• Внятное описание проблем и 
последствий эксплуатации 
уязвимостей 
Понимается куда лучше, чем 
УГРОЗЫ 
КОНФИДЕНЦИАЛЬНОСТИ, 
НАРУШЕНИЕ ЦЕЛОСТНОСТИ, 
ДОСТУПНОСТИ, !!1111! 

• Разъяснение, как именно та т, 
нужно закрыть и что сделать, а 


nonexisten » 

1аљёясаре и 104: 109: /var/Lib/Landscape:/Din/false 
si 4: : /var/runjashd: /usr/sbin/nologin 
» 


чтобы такая уязвимость не ТОНИ 
появилась снова. 


* sh 
8: 28 :№а1 11704 List Manager:/var/1ist:/bin/sh 
ке /у 


www.zeronights.org 


A 2015 


ZERO NEIE 


\ Чем завоевать доверие 


e Понимание процесса разработки изнутри 
Понимание проблем, ошибок, боли программистов. Как 
внедрить систему с минимальными потерями... 

• Выстраивание дружественных отношений вместо регламентных 
Максимальное встраивание в процесс разработки, 
использование существующего иструментария (CI, Nightly 
Builds, Вид trackers) 

e Выступаю "переводчиком" с языка отчётов по 


пентесту, оповещений CERT, писем “ НАСК J 
U GIMME MONEY GETA | 
Объяснить, что имелось ввиду, А7 
как и где это поправить, что 
сделать, чтобы не повторялось 
в дальнейшем 
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2ЕКО КОЈЕ: 
Инструменты 


Инструменты стандартны и не интересны* 
Fortify, Burp, Metasploit, ЗОЁ тар, Асипе!х, Аррзсап ... 


FORTIFY A 
E BURPSUITE 8.3 


PROFESSIONAL 
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| Результат 


Закрыли кучу критических уязвимостей, через 
которые могли бы поломать клиентов и сервисы. 
Постоянный мониторинг изменения кода и 
добавления нового функционала 

Мониторим попытки эксплуатации исправленных 
уязвимостей на SIEM 

Что нельзя закрыть или оперативно исправить — 
закрываем виртуальными патчами на WAF 
Повышаем уровень доверия разработчиков к ИБ 
Некоторые команды сами приходят к нам и 


просят проверить приложение 


eronights.org 


2015 


2ЕКО ШИЕ 


Текущий статус 


Регулярно анализируем исходный код приложений 
Добиваем внешних разработчиков на предоставление 
кода существующих систем 

Навязываем обязательный аудит исходников перед 
приёмкой приложения 

Сканирование стороннего кода при добавлении в 
проекты 

Периодически пентестим ресурсы Банка и помогаем 
исправлять выявленные уязвимости 
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Дальнейшие планы 


e Развитие направления Application Security 
Полноценное включение в процесс 


динамических анализаторов и \\еб-сканеров 
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АВЫ ЧТО ДУМАЛИ, МЫ 
TYT В.ИГРУШКИ ИГРАЕМ? 


СПАСИБО ЗА 
*Зреса! thank М f 
омета аде ВНИМАНИЕ! 


Хигу. арена сот https://www.linkedin.com/in/YuryShabalin 
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